> Как, вкратце, это сделать правильно? Сейчас openvpn живёт сам по
> себе, отдельно, своя подсеть со своей адресацией. В конечном счёте хочется,
> чтобы skype или другие программы интернет-телефонии могли траффик пускать какбы через
> локальную сеть, а на деле через openvpn.
> Допустим у менять LAN такие: 10.20.30.x, 10.20.31.x... Какие сделать адреса
> внутри openvpn, какой роутинг?В каждой LAN есть шлюз. На шлюзе поднимаешь один OVPN интерфейс/демон с неким IP, пишешь именно его адрес адресом шлюза по умолчанию на всех машинах в LAN. Дополнительно, на шлюзе можно делать NAT для чего/кого-либо ещё и исходящим ставить OVPN обслуживаемый, виртуальный и-фейс. У всех клиентов нет OVPN, OVPN есть только на шлюзе. Бонус - все ключи под контролем внутри шлюза.
Отдельно маршрутишь куда самому нужно (между собственными шлюзами?) трафик через сокеты внешний.ip.адрес.шлюза:порт, через которые идёт служебный трафик демона OVPN, сокеты на которых слушает/пишет свои служебные пакеты с шифровками OVPN демон.
Подсети внутри каждой LAN, подсети каждого туннеля должны быть разные, все. Не, ну можно иначе, для спорта, но так надёжнее в смысле ошибок в заумных схемах. Что такое разные подсети - см. что такое маска сети. Понятие маска подсети даст идею разбиения под себя "серых" диапазонов адресов.
Если же на каждом клиенте свой OVPN и-фейс. Вроде очевидно: пишется как default gateway IP адрес OVPN и-фейса на шлюзе, остальные маршруты по умолчанию (см. принципы TCP/IP сетей). Делаешь всё тупо: как у тебя у каждого две сетевые карты, у каждой свой отдельный IP адрес, везде какбы два кабеля (один кабель физический, другой кабель виртуальный-OVPN). На шлюзе - тоже два потока. Рулишь эти потоки куда нужно. В этом случае в LAN весь трафик остаётся шифрованным, но это не всем надо.
Размер MTU полезно обдумать.
Подробности? См. инет по теме + 'man ip' (в т.ч. про route), может - 'man route', и 'man iptables'.